في أبريل 2023، أصدرت وزارة الأمن الداخلي وCISA وDOE وCESER تقريرًا بعنوان "تقرير دورة حياة مشاركة قائمة مواد البرنامج (SBOM).'. كان الغرض من التقرير هو فحص الطرق الحالية التي يشارك بها الأشخاص SBOMs بالإضافة إلى الخطوط العريضة، بشكل عام، كيف يمكن إجراء هذه المشاركة بشكل أفضل، مع مزيد من التطور لتمكين شفافية أفضل في البرامج.
يقسم التقرير دورة حياة مشاركة SBOM إلى ثلاث مراحل: الاكتشاف والوصول والنقل. الاكتشاف هي الطريقة التي يمكن للمستخدم أو المستهلك أن يدرك بها وجود SBOM جديد من مؤلف أو مزود. استخدم هي الطريقة التي يمكن للمستخدم أو المستهلك من خلالها الوصول إلى SBOM وجميع البيانات ذات الصلة المصاحبة له (إثراء SBOM). المواصلات والنقل هي كيف يمكن للمستهلك الحصول على SBOM. وفي جميع الأحوال، كلما كانت العملية أكثر آلية، كلما كانت أفضل لجميع الأطراف المعنية.
على الرغم من أن التقرير لا يذكر على وجه التحديد أي أدوات، إلا أنه يتضمن أمثلة مختلفة وقوائم بالسمات التي قد تتضمنها هذه الأدوات المرغوبة.
لقد سررنا عندما اكتشفنا هنا في Scribe أن منصتنا، التي تتيح مشاركة سبوم المعلومات كجزء من استخدامها الأساسي، تحصل على درجات عالية جدًا عند مقارنتها بقائمة المتطلبات المنشورة.
في هذه المقالة، سنتناول الأجزاء الثلاثة من دورة حياة مشاركة SBOM كما هو محدد في التقرير ونفحص الحل الأكثر تطورًا كما تراه CISA. وسوف نختتم بوصف كيف منصة الكاتب يجيب على هذه المتطلبات.
تطور دورة حياة مشاركة SBOM
الاكتشاف هي المرحلة الأولية من دورة الحياة وتتضمن كيفية إدراك المستهلك لوجود SBOM من المؤلف أو المزود. يمكن أن يكون هذا الأمر بسيطًا مثل وضع SBOM جديد في موضع قياسي داخل موقع الويب الخاص بالمورد أو موقع داخل مستودع البرامج. يجب أن يكون واضحًا بما فيه الكفاية للمستهلك كيفية الحصول على بيانات SBOM هذه أو على الأقل طلب الوصول إليها حتى يتمكنوا لاحقًا من الوصول إليها وتنزيلها لاستخدامها. في بعض الأحيان سيحتاج المستهلك إلى البقاء على اتصال مع المزود وطلب التحديثات على SBOM الخاص به. وبدلاً من ذلك، يمكن توفير التحديثات المستمرة التلقائية.
إن النهج عالي التطور، كما جاء في التقرير، يضع المزيد من عبء الاكتشاف على عاتق المزود من أجل جعل حياة المستهلك أسهل. من الناحية المثالية، قد تكون هناك عملية معروفة وموثقة جيدًا ومثالية للأتمتة ولا تتطلب سوى القليل من العمل يدويًا. على سبيل المثال، قد يقوم المزود بتطوير ملف نشر الاشتراك الخدمة التي ستقوم تلقائيًا بتحديث المستخدمين بمعلومات حول SBOMs الجديدة بالإضافة إلى الإصدارات المحدثة من SBOMs الموجودة وآلية تحديد موقعها. بالإضافة إلى ذلك، يجب أن تكون المستويات الأكثر تطوراً أكثر دقة في توجيه العملاء نحو المعلومات المطلوبة مع إخفاء المعلومات غير ذات الصلة.
استخدم هي الخطوة التالية وهي توضح بالتفصيل كيفية الوصول إلى البيانات. يتم التركيز في هذه المرحلة على قيود الوصول الموضوعة على SBOM وكيفية حصول المستخدم على إذن للانتقال إلى مرحلة النقل. أسهل طريقة هي جعل SBOM في متناول الجميع بشكل كامل وقد لا يكون هناك حتى شرط لوضع ضوابط الوصول في مكانها الصحيح. ولكن، من الناحية الواقعية، قد يطلب مقدم الخدمة الاحتفاظ بـ SBOMs في مستودع حيث يجب الموافقة يدويًا على الوصول إليها أو تحديد الدور قبل منحها لمستلم معين. بالإضافة إلى ذلك، قد تحتاج SBOMs إلى دقة محددة للتحكم في الوصول لضمان أن العملاء يمكنهم فقط عرض إصدارات SBOM معينة مرتبطة بمنتج أو الوصول إلى أجزاء معينة من البيانات.
في أسلوب عالي التطور، قد يطلب المستهلك الوصول لعرض SBOM ويمكن إنشاء حساب مقيد تلقائيًا. إذا تمكن المستهلك من تقديم دليل على أنه قام بشراء جهاز أو قطعة من البرامج ذات صلة بـ SBOM المعني، مثل مفتاح البرنامج، فقد يتم منح الوصول إلى SBOM تلقائيًا. باستخدام الأدوار أو عناصر التحكم في الوصول على مستوى المؤسسة، يوجد مستوى عالٍ من دقة الأذونات. تتطلب هذه الميزة مستوى عالٍ من التطور نظرًا لمتطلبات تحليل وفهم أذونات كل نشاط مرغوب بالإضافة إلى تتبع البيانات المطلوبة للتحقق من صحة مشتريات العملاء تلقائيًا. باستخدام نظام مثل تفويض البنية التحتية للمفتاح العام باستخدام توقيع الشهادة، قد يتمكن الموفر من تفويض طلبات المصادقة والتحكم في الوصول إلى مؤسسة أخرى للحصول على مستوى أعلى من التطور.
المواصلات والنقل هي الخطوة النهائية وهي توضح بالتفصيل الطريقة التي يتلقى بها المستهلك SBOM. قد يتم نقل SBOMs باستخدام طرق مختلفة من مكان إلى آخر أو من موقع واحد إلى عدد من المواقع. يتم تسهيل هذه العملية بشكل أكثر فعالية من خلال بعض الطرق أكثر من غيرها. قد تكون النسخة المخزنة على القرص الصلب والمرسلة من المؤلف إلى المستهلك كافية إذا كان نقل SBOM يتضمن فقط حركة SBOM واحدة. يجب توفير الطريقة التي تمكن العملاء من استرداد SBOM بأمان إذا احتاجتها قاعدة كبيرة من المستهلكين. هذه المرحلة ضرورية للمستهلك لاستخدام البيانات. ضع في اعتبارك أن معظم استخدامات SBOM العملية تتطلب تنسيقًا يمكن قراءته آليًا، لذا يحتاج النقل إلى أخذ ذلك في الاعتبار.
باستخدام البروتوكولات المعمول بها، يجب توثيق عملية مرحلة النقل بشكل كامل لتمكين أكبر قدر ممكن من أتمتة النقل. يجب أن تكون واجهة برمجة التطبيقات (API) قابلة للوصول وقابلة للتكرار ومتسقة. سيكون كافيًا تصنيف واجهة OpenAPI على أنها عالية التطور إذا كانت تقدم وثائق لنقل الحالة التمثيلية (REST) أو RESTful API. 13 يمكن أيضًا اعتبار معايير API الأخرى، مثل بروتوكول الوصول إلى الكائنات البسيطة (SOAP) أو لغة استعلام الرسم البياني (GraphQL)، كافية. يعد REST مجرد مثال شائع للواجهة القياسية. في الواقع، أي واجهات توفر مستوى مماثلًا من سهولة التكامل تكفي لتصنيفها على أنها عالية التطور.
كيف تستجيب منصة الكاتب للمتطلبات؟
قام Scribe بتطوير منصة تتيح التشغيل التلقائي نشر الاشتراك الخدمة. يمكن لمنتج البرامج ربط خطوط أنابيب CI الخاصة به بالمنصة بحيث يتم إنشاء SBOM مطابق في كل مرة يقومون فيها بتشغيل إنشاء. يتم بعد ذلك إثراء SBOMs بمعلومات إضافية ويمكن الوصول إليها بناءً على المشروع المحدد وخط أنابيب البناء والتاريخ والوقت. يمكن للمنتج إضافة مشتركين إلى كل مشروع وذلك بمجرد أن يقرروا ذلك نشر نسخة جديدة من البرنامج. يتم إخطار جميع المشتركين ويتمتعون على الفور بإمكانية الوصول الكامل، ليس فقط إلى SBOM الجديد ولكن أيضًا إلى كافة المعلومات الأمنية الأخرى المصاحبة له. يمكن للمشتركين الوصول إلى SBOMs التي يمكنهم الوصول إليها في أوقات فراغهم ويمكنهم تنزيلها وقتما يريدون.
بمجرد الانتهاء من إنشاء رابط خط الأنابيب وموافقة المشترك على اهتمامه بالبيانات، يصبح تدفق المعلومات بالكامل آليًا ولا يتطلب سوى القليل من التدخل اليدوي أو لا يتطلب أي تدخل يدوي على الإطلاق. يتم تشفير البيانات الأمنية وتأمينها بواسطة Scribe ولا يمكن الوصول إليها إلا للمنتج والمشتركين المعتمدين. يتم الاكتشاف تلقائيًا، ويتم تحديد الوصول من قبل المنتج ويتم النقل حسب رغبة المشترك.
مستقبل مشاركة SBOM
في هذه الأيام، من المرجح أن تتم مشاركة SBOM عبر البريد الإلكتروني بدلاً من النظام الآلي ولكن هذا النهج غير قابل للتطوير. لتمكين مشاركة أكبر، يجب أن تصبح المزيد من الأدوات والأنظمة الأساسية مثل Scribe متاحة وسهلة الاستخدام ويمكن الوصول إليها. إن مجموعة متنوعة من حلول المشاركة المصممة لتلبية احتياجات أصحاب المصلحة المتنوعة ستكون مفيدة لنظام مشاركة SBOM. توجد هذه الشروط لأنه قد يُطلب من مورد معين استخدام طرق نقل مختلفة من قبل عملائه، وقد يتم تزويد العميل ببيانات SBOM باستخدام طرق مختلفة من قبل شركائه في المنبع. نحن بحاجة إلى المزيد من الحلول التي يمكنها التعامل مع المواقف الخاصة المحددة بينما نحاول، عندما يكون ذلك عمليًا، التخلص من العمليات اليدوية وتجنب الإجراءات التي تعيق إمكانية التشغيل البيني. يجب أن يكون هدف الصناعة هو منع ظهور العديد من حلول مشاركة SBOM غير المتوافقة مع بعضها البعض في سلسلة توريد أكبر لأن ذلك لن يؤدي إلا إلى تفاقم المشكلات الحالية.
منذ منصة الكاتب مجانية لاستخدامها لما يصل إلى 100 إصدار شهريًا، أشجعك على تجربتها ومعرفة عدد احتياجاتك الأمنية والتنظيمية التي تلبيها المنصة. لا يزال أمامنا طريق طويل لنقطعه من أجل منصة عالمية حقيقية تلبي رؤيتنا ولكنها نقطة انطلاق جيدة نتطلع إلى مشاركتها مع العالم.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
